Beschäftigtendatenschutz in der Corona-Krise

Zusammenfassung Nach wie vor stellt die COVID-19-Pandemie viele Arbeitgeber vor außerordentliche Herausforderungen. Denn trotz der Krisensituation gelten die Anforderungen des Datenschutzes nach wie vor. Dies hat der Europäische Datenschutzausschuss (EDSA) bereits in einer Erklärung am 19. März 2020 betont. Zugleich ist damit zu rechnen, dass der Trend der Zunahme von Beschwerden und der damit verbundenen Kontrollen auch im Corona-Jahr 2020 weiter ansteigen wird, wie etwa aktuelle Zahlen aus Niedersachsen Ende Oktober nahelegen. Außerdem sollte in Zeiten von Kurzarbeit und pandemiebedingten Kündigungen bedacht werden, dass ein wesentlicher Anteil der an die Aufsichtsbehörden übermittelten Beschwerden und Kontrollanregungen von ehemaligen – insbesondere gekündigten – Mitarbeitern stammen, die über entsprechendes internes Wissen verfügen. Zu den bestehenden Datenschutzaufgaben kommt hinzu, dass es aufgrund der gesetzlichen Fürsorgepflichten zum Gesundheitsschutz der [...]

Emotet – Malware mit dem Potenzial zum Totalschaden

Die Gefahr durch Schadsoftware ist sowohl für Privatpersonen als auch für Unternehmen und Behörden in den letzten Jahren immer mehr gestiegen. Cyberkriminelle entwickeln ständig neue Programme, um andere Internetuser auszuspionieren, Daten zu sammeln oder sich auf andere Weise zu bereichern. Dass sie dabei immer kreativer werden, macht es sowohl für Virenscanner und SPAM-Filter als auch für die Empfänger gefälschter E-Mails schwierig, Schadprogramme zu erkennen. Werden Systeme von Schadsoftware befallen, kann dies erhebliche finanzielle Schäden zur Folge haben, die zum Teil existenzbedrohend sind. Eine der seit Jahren gefährlichsten Schadsoftware ist Emotet. Der Banking-Trojaner wurde im Jahr 2014 erstmals von Experten entdeckt und bedroht seitdem Privatpersonen, Unternehmen und Behörden. Einer der wohl bekanntesten Fälle ist der Befall mit Emotet beim Kammergericht Berlin im September des vergangenen [...]

Schwere Missachtung des Beschäftigten-Datenschutzes: 35 Millionen € Bußgeld

Ende Januar 2020 eröffnete der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit gegen die bekannte Modekette H&M ein Bußgeldverfahren wegen Verstöße gegen den Beschäftigtendatenschutz. Nach umfangreichen Ermittlungen verhängte er nun gegen das Modehaus wegen der jahrelangen schwerwiegenden strukturellen Missachtung des Beschäftigtendatenschutzes das bisher höchste deutsche Bußgeld in Höhe von über 35 Millionen Euro. Das Wichtigste in Kürze Mitarbeiter des Unternehmens am Standort Nürnberg sammelten bei Gesprächen mit ihren Angestellten in großem Umfang private Informationen über diese. Die umfangreichen Datensätze mit detaillierten Informationen zum Gesundheitszustand und Beziehungsleben der Mitarbeiter existierten spätestens seit 2014 und waren bis zu deren Entdeckung im Oktober 2019 bis zu 50 Führungskräften zugänglich. Die betroffenen Mitarbeiter hatten keine Kenntnis davon, dass diese Daten gesammelt wurden. Durch einen Konfigurationsfehler war der Ordner im [...]

Hackerangriff auf Universitätsklinikum Düsseldorf – so wichtig sind die TOMs

In den letzten Jahren häufen sich immer mehr Meldungen von Unternehmen und öffentlichen Einrichtungen, die Opfer einer Cyberattacke geworden sind. Die Täter suchen in der Regel gezielt nach bestehenden Sicherheitslücken und nutzen diese aus, um die betreffenden Computersysteme mit Schadsoftware zu infizieren. Die derzeit wohl am weitesten verbreitete Methode der Hacker ist der Einsatz von Verschlüsselungstrojanern, die beispielsweise in manipulierten E-Mails versteckt sind. Mithilfe der Schadsoftware (engl.: Malware) werden Daten, die auf den infizierten Computern gespeichert sind, verschlüsselt. Anschließend fordern die Hacker Lösegeld (engl.: ransom), gegen dessen Bezahlung sie den Schlüssel zur Wiederherstellung der Daten herausgeben wollen. Eine Studie der US-amerikanischen Temple University kam zu dem Ergebnis, dass die Frequenz an (öffentlich bekannten) Ransomware-Attacken dieses Jahr auf dem Höchststand seit 2013 liegt. Je nach [...]

Fehler bei der Cookie-Banner-Gestaltung: 30.000 € Bußgeld

Sind Cookie-Banner den meisten Websitebetreibern und auch Websitenutzern ein Dorn im Auge, so führt nach der jetzigen Rechtslage in den allermeisten Fällen doch kein Weg an ihnen vorbei. Zwar wurden die Spielregeln für das Setzen von Cookies durch die Datenschutz-Grundverordnung (DS-GVO) nicht verändert, jedoch sind die Strafen für die Nichtbeachtung der Vorschriften mit der DS-GVO deutlich empfindlicher geworden. Dies führte dazu, dass der Gestaltung der sog. Cookie-Banner sichtlich mehr Beachtung geschenkt wird – nicht unbedingt von den Unternehmen selbst, aber vielfach von den zuständigen Aufsichtsbehörden und den Usern der Homepage. Besonders hart zu spüren bekam das eine spanische Billigfluglinie, denn gegen sie wurde bereits im Oktober 2019 ein Bußgeld in Höhe von 30.000 Euro verhängt. Das Wichtigste in Kürze Eine spanische Billigfluglinie bot Usern [...]

Gewinnspieldaten für Werbezwecke genutzt: 1,2 Millionen Bußgeld

Das Wichtigste in Kürze: Eine Krankenkasse in Baden-Württemberg veranstaltete von 2015 bis 2019 mehrere Gewinnspiele. Dabei wurden die klassischen Informationen der Teilnehmer erfasst. Die personenbezogenen Daten wurden später für Werbezwecke verwendet. Die Krankenkasse nutzte dabei auch personenbezogene Daten von Personen, von denen keine Einwilligung vorlag. Der Landesdatenschutzbeauftragte verhängte ein Bußgeld von 1,2 Millionen Euro. Ziel der Aufsichtsbehörde sei es nach Herrn Brink aber nicht, besonders hohe Bußgelder zu verhängen, sondern ein besonders gutes und angemessenes Datenschutzniveau zu gewährleisten. Die Aufsichtsbehörde betonte, dass der Datenschutz eine Daueraufgabe sei. Wirksamer Datenschutz erfordere daher regelmäßige Kontrollen und Anpassungen. Der Fall im Detail Eine Krankenkasse in Baden-Württemberg veranstaltete von 2015 bis 2019 eine Reihe von Gewinnspielen, um damit fleißig persönliche Informationen der Teilnehmer – wie bspw. Kontaktdaten oder [...]

Achtung, Virus: Nicht nur Corona-Viren sind gefährlich

Sasser, Stuxnet, Nimda – was aussieht wie eine harmlose Aneinanderreihung von Buchstaben, kann in Wahrheit für Unternehmen ziemlich gefährlich werden. Bei den genannten Begriffen handelt es sich um drei der derzeit berüchtigtsten Computerviren. Viele Computer, egal ob privat oder geschäftlich genutzt, sind nicht ausreichend gegen die Risiken der Onlinewelt geschützt und somit ein gefundenes Fressen für Kriminelle. Diese infizieren ebensolche Rechner mit Viren und sorgen so für erhebliche Schäden mit gravierenden, teils existenzgefährdenden Folgen für die Betroffenen. Häufig werden Daten gelöscht, ausspioniert oder verschlüsselt, Onlinebanking-Transaktionen zugunsten der Kriminellen manipuliert oder Bestellungen im Namen der Betroffenen getätigt. Teilweise werden sogar die infizierten PCs für Cyberangriffe auf andere Personen oder Unternehmen eingesetzt – ein finanzielles und datenschutzrechtliches Fiasko für betroffene Unternehmen. Ein solider Schutz ist daher [...]

Frankreich: Bußgeld wegen unangemessener Informationen im CRM-System

Systeme zum Customer-Relationship-Management (CRM) sind für die meisten Unternehmen heute gar nicht mehr wegzudenken. Das Angebot an CRM-Software ist vielfältig und die Funktionen der Systeme werden stets verbessert und ausgebaut. Was bei vielen Produkten und bei der Arbeit mit CRM-Systemen allerdings nur wenig oder gar nicht beachtet wird, ist der Datenschutz. Die datenschutzrechtlichen Vorgaben sind nämlich nicht nur mit einem gewissen technischen und arbeitsintensiven Aufwand verbunden, sie widersprechen zum Teil auch den Zielen der Unternehmen. Aus Sicht der Unternehmen sollen nämlich möglichst viele Informationen über die eigenen Kunden und die Kundenhistorie an einer Stelle gesammelt werden und bei Bedarf abrufbar sein. Das gilt nicht nur für Kontaktdaten oder Angaben mit Bezug auf die Geschäftsbeziehung. In vielen Fällen werden auch über die Dauer des Geschäftsverhältnisses [...]

Konfigurationsfehler bei Back-up-Server – Millionen Kundendaten im Netz

Die DS-GVO enthält vier Schutzziele, die bei der Verarbeitung personenbezogener Daten beachtet werden müssen – Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit. Um diese Ziele zu erreichen, müssen eine Reihe von Maßnahmen zum Schutz personenbezogener Daten getroffen werden, die sogenannten Technisch-Organisatorischen Maßnahmen (TOMs). Dass diese Schutzziele zusammenspielen und bei der Umsetzung in Form von TOMs nicht getrennt voneinander betrachtet werden sollten, zeigt eine Datenpanne bei einem der größten Autovermieter in Deutschland. Um die Verfügbarkeit zu gewährleisten, erstellte das Unternehmen täglich ein Back-up der Daten. Die Back-up-Dateien wurden auf einem angemieteten Cloud-Rechner gesichert. Das Problem dabei war, dass aufgrund eines Konfigurationsfehlers des Servers die Dateien offen im Internet für jedermann abrufbar waren. Die personenbezogenen Daten konnten über mehrere Wochen hinweg von Internetusern ohne großen Aufwand heruntergeladen werden, [...]

EuGH-Urteil zu Cookies: Ohne aktive Zustimmung keine Einwilligung

Die Verwendung von Cookies auf Homepages ist hoch umstritten und viel diskutiert. Was muss beim Setzen von Cookies beachtet werden? Ist eine Einwilligung des Users notwendig? Welche Voraussetzungen werden an eine wirksame Einwilligung gestellt? – Alles Fragen, für die es bisher nur unterschiedliche Ansichten und sehr strenge Leitlinien von Seiten der Aufsichtsbehörden gibt. Mit seinem heutigen Urteil hat der EuGH zur Gestaltung von Einwilligungserklärungen zum Setzen von Cookies klar Stellung bezogen: Auf Informationen, die im Endgerät eines Nutzers gespeichert sind, darf nur zugegriffen werden, wenn der betreffende Nutzer auf der Grundlage von klaren und umfassenden Informationen, seine Einwilligung gegeben hat Es spielt keine Rolle ob es sich bei den gespeicherten Informationen um personenbezogene Daten handelt, oder nicht Der Nutzer muss vor Erteilung seiner Einwilligung [...]

Nach oben